Dane osobowe
Definicja
Ustawa o ochronie danych osobowych (UODO) z 1997 roku definiuje dane osobowe jako wszelkie informacje (imię i nazwisko, numer identyfikacyjny, jeden lub kilka specyficznych czynników określających cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne), które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. RODO uściśla powyższą definicję dodając do czynników umożliwiających identyfikację: dane o lokalizacji, identyfikator internetowy oraz czynnik określający cechy genetyczne. Jak należy rozumieć nowe terminy wprowadzone przez RODO?
Geodane
Dane o lokalizacji odnoszą się do informacji wytwarzanych przez użytkowników aplikacji mobilnych. Są to wszelkie informacje wskazujące położenie geograficzne urządzenia użytkownika publicznej usługi łączności elektronicznej (wg regulacji PECR). Obejmują one również informacje o wymiarach urządzenia, kierunku przemieszczania się użytkownika, czasie rejestracji danych o lokalizacji. Geodane pozyskiwane z wbudowanych w urządzenia nadajników GPS, Bluetootha czy Wi-Fi połączone z konkretnym użytkownikiem mogą stanowić identyfikator osoby fizycznej, np. częste wizyty w szpitalu onkoligicznym, generowane przez aplikacje do zamawiania przejazdów. Jakie urządzenia i aplikacje mogą tworzyć dane o lokalizacji? To między innymi wszelkie aplikacje mapowe, pogodowe, do łączenia kierowców i pasażerów i połączone z nimi smartfony i tablety czy krokomierze połączone z aplikacjami fitness.
Identyfikator internetowy
To wszelkie identyfikatory przypisane użytkownikom przez ich urządzenia, aplikacje, narzędzia, protokoły, etykiety RFID itp., które pozostawiają ślady obecności użytkownika. W połączeniu z unikatowymi identyfikatorami i innymi danymi pozyskiwanymi przez serwery mogą tworzyć profile, służące do identyfikowania osób fizycznych. Gdzie spotykamy się z identyfikatorem internetowym? Popularne identyfikatory to adresy IP komputerów, pliki cookie, kody kreskowe na zakupionych produktach lub przyklejone na walizkach, chipy wszyte w ubrania.
Dane genetyczne
To wyjątkowe, niepowtarzalne informacje o fizjologii i stanie zdrowia osoby fizycznej, od której pobrano próbkę biologiczną. Pozwalają nie tylko na jednoznaczną identyfikację konkretnej osoby ale także na pozyskanie informacji na temat cech jej rodziny. Dane genetyczne pobierane są podczas badań, w tym także prenatalnych i mogą być gromadzone dla celów naukowych w tzw. biobankach. Ze względu na ich wartość ekonomiczną dane genetyczne stają się przedmiotem zainteresowań biznesu, jako potencjalny czynnik minimalizacji ryzyka działalności.
Obok danych genetycznych na uwagę zasługują także dane biometryczne, umożliwiające jednoznaczną identyfikację osoby, od której zostały pobrane. Należą do nich skany linii papilarnych, rysów twarzy czy siatkówki oka. Są to dane, których pobranie od niedawna możliwe jest wyłącznie za dobrowolną zgodą osoby fizycznej.
Kryterium danych osobowych
Zarówno ustawa o ochronie danych osobowych, jak i RODO za główne kryterium uznania informacji umożliwiających identyfikację osoby fizycznej za daną osobową przyjmuje proces i kontekst ich przetwarzania. Ustala się zatem, że dane osobowe to te informacje, które umożliwiają identyfikację niewielkim nakładem pracy – kosztem i czasem, uwzględniając dostępną w momencie ich przetwarzania technologię oraz postęp technologiczny. Kryterium nie jest więc sztywne i opiera się na racjonalnych i prawdopodobnych czynnikach obiektywnych.
Dane wrażliwe
To szczególna kategoria danych osobowych, których przetwarzanie jest zabronione, poza wyjątkami określonymi szczegółowo w ustawie. Jakie informacje są sensytywne?
- dane ujawniające pochodzenie rasowe lub etniczne,
- poglądy polityczne,
- dane genetyczne,
- przekonania religijne lub światopoglądowe,
- dane biometryczne,
- przynależność do związków zawodowych,
- informacje dotyczące stanu zdrowia.
Ustawa zakłada, że informacje wrażliwe mogą być przetwarzane tylko w uzasadnionych przypadkach, nie naruszających interesu osoby, której dotyczą lub jeśli osoba wyraziła wyraźną dobrowolną zgodę na ich przetwarzanie. Przypadki te wymieniono enumeratywnie w ust. 2 art. 9 RODO.
Przetwarzanie danych osobowych
Definicja przetwarzania danych osobowych wprowadzona przez ustawę z 1997 roku w zasadzie nie zmieniła się po regulacji RODO. Bardziej szczegółowo dookreślono czynności dokonywane na danych osobowych, jakie uznaje się za przetwarzanie. Są to:
- zbieranie,
- utrwalanie,
- organizowanie,
- porządkowanie,
- przechowywanie,
- adaptowanie,
- modyfikowanie,
- pobieranie,
- przeglądanie,
- wykorzystywanie,
- ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie,
- dopasowanie, łączenie,
- ograniczanie,
- usuwanie i niszczenie.
Jeśli przedsiębiorstwo przetwarza dane osobowe, jest zobowiązane przetwarzać je zgodnie z określonymi ustawowo zasadami. Przede wszystkim musi zapewnić danym osobowym klientów optymalną ochronę oraz zatrudniać administratora danych osobowych, odpowiedzialnego za przestrzeganie przepisów o ochronie. Istotne jest również, aby przetwarzać dane wyłącznie w zakresie, w jakim jest to niezbędne. Ponadto przetwarzanie danych osobowych przez przedsiębiorstwo wymaga spełnienia określonych ustawowo warunków:
- zgody osoby, której dotyczą,
- przetwarzania danych w sytuacji, gdy jest to niezbędne do: spełnienia obowiązku prawa, realizacji określonych prawem zadań dla dobra publicznego, realizacji prawnie usprawiedliwionych celów wykonywanych przez administratorów lub odbiorców danych (np. marketing bezpośredni własnych produktów lub usług czy dochodzenie roszczeń z tytułu prowadzonej działalności), realizacji umowy, której stroną jest osoba, której dane zawiera umowa.
Kary
Jeśli przedsiębiorstwa przetwarzające dane osobowe klientów nie przestrzegają przepisów ustawy np. nie zachowując właściwej ochrony lub nie posiadając zgody klientów na przetwarzanie ich danych, muszą liczyć się z konsekwencjami prawnymi. RODO znacząco rozbudowało zakres kar w stosunku do ustawy z 1997 roku. Za naruszenia prawa przepisów o ochronie danych osobowych ustawa przewiduje kary pieniężne w dwóch progach w zależności od rodzaju naruszeń – pierwszy próg to 10 milionów euro lub 2% rocznego obrotu. Taka grzywna może być przyznana za niezgłoszenie naruszeń organowi nadzorczemu lub osobie, której dane dotyczą. Drugi próg to 20 mln euro lub 4% rocznego obrotu firmy, jako grzywna na przykład za uniemożliwienie skorzystania z „prawa do bycia zapomnianym”. Poza karami finansowymi prawo zakłada również kary pozbawienia wolności do lat 2 i do lat 3 w przypadku danych wrażliwych.
Cyber atak
Przedsiębiorstwo przetwarzające dane osobowe powinno również liczyć się z przestępczością cybernetyczną. Wymuszenie czy kradzież danych osobowych mogą być w skutkach bardziej dotkliwe niż kary, jakie zakłada RODO. Cyber przestępczość jest w zasadzie nieprzewidywalna, ewoluuje wraz z rozwojem zabezpieczeń. Przykłady ze świata pokazują, że nawet największe firmy nie są w stanie zabezpieczyć się przed cyber atakiem. Nie oznacza to, że na kradzież danych narażone są wyłącznie duże przedsiębiorstwa. Wprost przeciwnie, mała i średnia przedsiębiorczość znacznie częściej staje się celem ataku. Dzieje się tak, ponieważ firmy z sektora MŚP korzystają z przestarzałych lub nieskutecznych rozwiązań zabezpieczających. Zbyt mało firm stosuje także zasady polityki bezpieczeństwa. Co istotne skutkiem cyber ataku jest nie tylko utrata dobrego imienia i zaufania klientów ale także zaburzenie płynności finansowej firmy.
Cyber ubezpieczenie
Przestój w działalności, koszty przywrócenia bezpiecznego stanu, odzyskania utraconych danych czy kary nałożone przez Urząd Ochrony Danych Osobowych generują niebagatelne straty. Przedsiębiorstwa racjonalnie zarządzające ryzykiem, zabezpieczają się na okoliczności przestępczości cybernetycznej właściwą cyber polisą.